[病毒分析]熊猫烧香(中)病毒释放机理(三)

简介: [病毒分析]熊猫烧香(中)病毒释放机理

5.分析sub_4057A4后续删除功能

接着我们继续分析,由于之前进行了重命名操作,所以代码的可读性更好了,从0x00408079位置下面的代码我们都能看懂。

0x0040807E test al, al
0x00408086 push 80h
0x 004080C5 call SetFileAttributesA

它会根据上一段代码的查找结果进行判定al,即如果当前目录下Desktop_.ini文件存在,那么就会调用SetFileAttributesA函数。该函数会改变他的属性,将它的属性改为80h所代表的值,即该文件的文件属性调整为NORMAL(正常属性)。

1.png

继续往下看, 调用了一个Sleep函数停止1毫秒。停止1毫秒之后,它接着调用DeleteFileA函数将Desktop_.ini删除。正常来讲,病毒还没有运行的时候,这个Desktop_.ini文件应当是不存在的;如果存在的话,病毒首先会改变这个文件的属性,再将这个病毒给删除掉。

push 1
call Sleep
call DeleteFileA

1.png

这里看到一个未知函数sub_4040CC,它的参数是[ebp+var_3C4],事实上3C4就是文件的路径。将文件路径赋值给EAX,我们进入sub_4040CC函数。发现其功能:

验证EAX是否存在,即判定文件的路径是否为空

如果文件不存在它会直接执行loc_408110位置的函数,sub_4040CC其实就是一个验证机制,在IDA中按下ESC返回,我们给它进行重命名。

image.png

总结,重命名及对应功能如下:

  • sub_4040CC -> CheckPathIsExist
  • 功能:检测文件的路径是否存在

image.png

6.sub_4078E0子函数

我们接着分析下一个函数

0x00408126 call sub_4078E0

image.png

第一步,我们在IDA中大致看下函数的内容。

我们可以看到这个函数非常的长,且也调用了很多其它的函数,那么看上去很难分析清楚这个函数到底是做什么的。这里我们先不管其具体的实现细节,只看看该函数执行完后,这些参数或寄存器位置发生了什么变化,主要关注该函数执行前后,程序使用了哪些寄存器。

image.png

第二步,打开OD跳转到40811D位置,按下F2增加断点,再按F9执行过来。

注意,病毒逆向分析就是调用IDA和OD反复调试的过程。

image.png

第三步,在OD中分析具体代码。

  • mov eax, dword ptr ss:[ebp-0x3CC]
  • lea edx, dword ptr ss:[ebp-0x4]
  • call 004078E0


首先它是将EBP-3CC赋值给EAX,再将EBP-4赋值给EDX,调用call函数。

image.png

我们现在按F8来步过这个call函数,再观察数据窗口中存在什么变化。可以看到执行完call函数后,这个函数用了很大一片区域写入了非常多看似无意义的字符,结合右边的ASCII码,可以将这些内容理解为暴力P解的字典。


  • 病毒的编写者企图利用暴力P解的方式来攻破计算机中某些验证机制
    我们F8步过这个函数看一下数据窗口的数据变化

1.png

当然这些内容还是非常多的,病毒作者也写入了很多其他信息,有兴趣的作者可以好好分析下。这些信息有助于我们获取病毒的行为信息,只有当我们深入分析其原理和实现过程,才有助于我们获取病毒的行为信息。

总结,重命名及对应功能如下:

  • sub_4078E0 -> WriteVirusInfoToMem
  • 功能:写入病毒信息到内存中,病毒作者企图利用暴力P解的方式,来攻破计算机中的某些验证机制

相关文章
|
Web App开发 开发框架 安全
网络安全实验四 熊猫烧香病毒剖析
网络安全实验四 熊猫烧香病毒剖析
295 0
|
安全
[病毒分析]熊猫烧香(中)病毒释放机理(四)
[病毒分析]熊猫烧香(中)病毒释放机理
150 0
[病毒分析]熊猫烧香(中)病毒释放机理(四)
|
安全
[病毒分析]熊猫烧香(中)病毒释放机理(一)
[病毒分析]熊猫烧香(中)病毒释放机理
180 0
[病毒分析]熊猫烧香(中)病毒释放机理(一)
|
安全
[病毒分析]熊猫烧香(中)病毒释放机理(二)
[病毒分析]熊猫烧香(中)病毒释放机理
151 0
[病毒分析]熊猫烧香(中)病毒释放机理(二)
|
安全
[病毒分析]熊猫烧香应急处理方法(下)
[病毒分析]熊猫烧香应急处理方法
178 0
[病毒分析]熊猫烧香应急处理方法(下)
|
开发框架 安全 前端开发
[病毒分析]熊猫烧香应急处理方法(上)
[病毒分析]熊猫烧香应急处理方法
304 0
[病毒分析]熊猫烧香应急处理方法(上)
|
机器学习/深度学习 云安全 人工智能
勒索病毒的彻底终结 主动式防御的剑与魔法
勒索病毒的彻底终结 主动式防御的剑与魔法
勒索病毒的彻底终结 主动式防御的剑与魔法
|
安全
Conficker病毒新变种卷土重来 可关闭杀毒软件
据国外媒体报道,安全厂商赛门铁克今天表示,发现了Conficker蠕虫病毒的一个新变种,它可以识别被感染计算机上的反病毒软件或安全分析工具,并试图关闭这些程序。 Conficker蠕虫病毒自出现以来,已经感染了全球上千万台计算机,但是该病毒最初的行为只是恶意传播自身,并不会给感染计算机带来进一步伤害。
1030 0